{"id":179503,"date":"2020-04-27T07:15:25","date_gmt":"2020-04-27T06:15:25","guid":{"rendered":"https:\/\/www.stormshield.com\/?p=179503"},"modified":"2023-06-22T13:14:30","modified_gmt":"2023-06-22T12:14:30","slug":"pourquoi-a-t-on-encore-besoin-mot-de-passe","status":"publish","type":"post","link":"https:\/\/www.stormshield.com\/fr\/actus\/pourquoi-a-t-on-encore-besoin-mot-de-passe\/","title":{"rendered":"Pourquoi a-t-on (encore) besoin d\u2019un mot de passe ?"},"content":{"rendered":"

\"Quelles<\/p>\n

Les mots de passe sont un casse-t\u00eate du quotidien et, du fait du facteur humain, repr\u00e9sentent une source de vuln\u00e9rabilit\u00e9 majeure pour les entreprises. Alors, r\u00e9guli\u00e8rement, des voix s\u2019\u00e9l\u00e8vent pour annoncer leur fin prochaine. Mais les alternatives propos\u00e9es sont-elles fiables\u00a0? Peut-on r\u00e9ellement se passer de mots de passe\u00a0?<\/strong><\/p>\n

L\u2019usurpation de mot de passe demeure le principal vecteur de piratages. L\u2019enqu\u00eate annuelle men\u00e9e par l\u2019op\u00e9rateur t\u00e9l\u00e9com am\u00e9ricain Verizon soulignait r\u00e9cemment que 29% des intrusions malveillantes proviennent de mots de passe vol\u00e9s<\/a> et que dans 80% des cas, des mots de passe faibles en \u00e9taient la raison. Chaque ann\u00e9e, les classements des \u00ab\u00a0pires mots de passe\u00a0\u00bb fleurissent et ne manquent pas de susciter le sourire\u2026 ou la d\u00e9tresse des DSI<\/a>.<\/p>\n

 <\/p>\n

\"Capture<\/a><\/p>\n

 <\/p>\n

Du grand classique \u00ab\u00a0123456\u00a0\u00bb au plus mn\u00e9motechnique \u00ab\u00a0incorrect\u00a0\u00bb en passant par l'audacieux \u00ab\u00a0p\/q2-q4!a<\/a>\u00a0\u00bb, la question du mot de passe est \u00e9pineuse, car l\u2019imp\u00e9ratif de s\u00e9curit\u00e9 se heurte souvent \u00e0 la r\u00e9alit\u00e9 des usages quotidiens. La double n\u00e9cessit\u00e9 de se rappeler d\u2019une combinaison chiffre-lettre-majuscule plus ou moins complexe et de renouveler cette combinaison \u00e0 intervalle r\u00e9gulier est souvent un casse-t\u00eate pour l\u2019utilisateur. Et la tentation de noter son mot de passe sur un post-it, voire de le r\u00e9pliquer pour tous les contextes est grande (cela concerne 78% des employ\u00e9s, d\u2019apr\u00e8s une \u00e9tude Harris Interactive pour CaptainCyber). Au manque g\u00e9n\u00e9ral de maturit\u00e9 des individus et collaborateurs s\u2019ajoute donc ce besoin de \u00ab\u00a0praticit\u00e9\u00a0\u00bb.<\/p>\n

Dans ce contexte, des voix s\u2019\u00e9l\u00e8vent pour annoncer \u00ab\u00a0la fin des mots de passe<\/em>\u00a0\u00bb et l\u2019av\u00e8nement du \u00ab\u00a0passwordless<\/em>\u00a0\u00bb, quand d\u2019autres c\u00e9l\u00e8brent la biom\u00e9trie comme une solution prometteuse. Pour d\u2019autres encore, c\u2019est la double-authentification qui serait un compl\u00e9ment efficace aux mots de passe. Alors, que penser de ces diff\u00e9rentes alternatives\u00a0? Dans les semaines\/mois\/ann\u00e9es \u00e0 venir, aura-t-on encore besoin d\u2019un mot de passe\u00a0?<\/strong> Puisque s\u00e9curit\u00e9 et contrainte vont de pair, faudrait-il moins de mots de passe mais de meilleurs\u00a0?<\/p>\n

 <\/p>\n

Biom\u00e9trie\u00a0: pratique mais pas infaillible<\/h2>\n

Les identifications biom\u00e9triques (scan des empreintes digitales, contours du visage, motifs de notre \u0153il) sont vite apparus comme des alternatives aux mots de passe traditionnels<\/a>. De fait, ouvrir son t\u00e9l\u00e9phone gr\u00e2ce \u00e0 son empreinte est plus rapide et moins p\u00e9nible que saisir un code \u00e0 plusieurs chiffres. Et il est vrai que les caract\u00e9ristiques physiques individuelles, celles qui par essence sont uniques et propres aux utilisateurs, sont des pistes int\u00e9ressantes pour g\u00e9n\u00e9rer des signatures. Apr\u00e8s l\u2019authentification r\u00e9tinienne, si ch\u00e8re \u00e0 l\u2019univers hollywoodien, le reste du corps humain est mis \u00e0 contribution. Amazon a r\u00e9cemment d\u00e9pos\u00e9 un brevet pour analyser le trac\u00e9 des veines et des rides de la peau, \u00e0 des fins d\u2019authentification. Le g\u00e9ant japonais Hitachi planche quant \u00e0 lui sur un proc\u00e9d\u00e9 qui permet d\u2019analyser les vaisseaux sanguins, les r\u00e9seaux veineux formant des structures uniques.<\/p>\n

Pour ces entreprises, ces autres identifications biom\u00e9triques s\u2019av\u00e8rent plus fiables que les empreintes ou que la reconnaissance faciale qui a elle aussi des limites. R\u00e9cemment, une \u00e9quipe de chercheurs de l\u2019universit\u00e9 de New York a r\u00e9ussi \u00e0 mettre au point une technique permettant de g\u00e9n\u00e9rer des empreintes \u00ab\u00a0universelles\u00a0\u00bb, et donc de berner les capteurs pr\u00e9sents sur 70% des t\u00e9l\u00e9phones. Et quand elles ne sont pas falsifi\u00e9es, les empreintes peuvent \u00eatre vol\u00e9es (comme ce fut le cas en 2015 lors d\u2019une attaque contre la r\u00e9serve f\u00e9d\u00e9rale am\u00e9ricaine \u2013 FED) et finir sur des market places sp\u00e9cialis\u00e9es dans la revente de donn\u00e9es biom\u00e9triques. En 2019, les empreintes de plus de 60\u00a0000\u00a0utilisateurs avaient ainsi servi \u00e0 alimenter GenesisStore<\/a>, une place de march\u00e9 du darknet. Quant \u00e0 la reconnaissance faciale, le journaliste Thomas Brewster de Forbes a d\u00e9montr\u00e9 qu\u2019il \u00e9tait possible de berner les t\u00e9l\u00e9phones gr\u00e2ce \u00e0 une impression en 3D de son visage<\/a>\u2026 Et tout r\u00e9cemment, une faille de s\u00e9curit\u00e9 a expos\u00e9 le code source de l'outil de reconnaissance faciale<\/a> Clearview AI. Difficile de ne pas penser \u00e9galement \u00e0 la technologie deepfake<\/a>, qui permet de concevoir des vid\u00e9os tr\u00e8s r\u00e9alistes, et donc de berner potentiellement les capteurs. Vous l\u2019aurez donc compris, en mati\u00e8re de biom\u00e9trie, les exp\u00e9rimentations fleurissent mais les risques d\u2019usurpation demeurent.<\/p>\n

[vc_row][vc_column width='1\/6'][\/vc_column][vc_column width='2\/3']